Nginx漏洞复现与总结

于 2024-05-28 15:45:02 发布
阅读量1.3k 收藏 13
点赞数 10
文章标签: 网络 web安全 nginx 网络安全 安全 学习 网安入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81113856/article/details/139265723
版权

Nginx简介

Nginx(engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。

 

Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。

其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。

Nginx环境安装

这里我用的小皮代替,就不一步步安装了

image-20210920171454084

不用小皮安装的可以参考这两个:

https://zhuanlan.zhihu.com/p/83890573

https://www.runoob.com/linux/nginx-install-setup.html

Nginx渗透

文件解析漏洞

漏洞描述

该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞。由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,对于任意文件名,在后面添加/xxx.php(xxx)为任意字符后,即可将文件作为php解析。

常见的漏洞配置:

image-20210922135925331

漏洞复现

新建一个1.jpg写入phpinfo

image-20210922104516994

1.jpg后面加上/xxx.php,便会以php解析

当访问/1.jpg/xxx.php时,nginx将查看url,看到它以.php结尾,将路径传给PHP fastcgi进行处理。但是fastcgi在处理’xxx.php’文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,这项配置默认开启,值为1,用于修复路径,如果当前路径不存在则采用上层路径。

为此这里交由fastcgi处理的文件就变成了’/1.jpg’。新版本的php的配置文件php-fpm.conf引入了“security.limit_extensions”,限制了可执行文件的后缀,默认只允许执行.php文件。

修复方法

1、 将php.ini文件中的cgi.fix_pathinfo的值设置为0

2、 php-fpm.conf中的security.limit_extensions后面的值设置为.php

目录遍历

漏洞原理

Nginx的目录遍历与apache一样,属于配置方面的问题,错误的配置可导致目录遍历与源码泄露。

漏洞复现

image-20210922140456388

在www目录下新建一个web目录测试

image-20210923110307070

修复方法

修复on改为off即可。

空字节任意代码执行漏洞

漏洞原理

Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码.

影响版本
nginx 0.5.*
nginx 0.6.*
nginx 0.7 <= 0.7.65
nginx 0.8 <= 0.8.37
漏洞复现

这里复现环境是Nginx 0.7.65+php 5.3.2,这里需要电脑上有.net framework4的环境。

image-20210923133638926

在nginx目录下执行startup.bat

image-20210924100329615

image-20210924100713225

建立1.jpg,写入

image-20210924101955592

访问1.jpg..php,抓包

image-20210924105355003

在hex选项卡中将jpg后面的点修改为00

image-20211007151031982

image-20211007151058422

成功绕过。

image-20211007151131148

forward一下

image-20211007151633082

该漏洞不受cgi.fix_pathinfo影响,其为0也能解析。

修复方法

升级nginx版本。

CRLF注入漏洞

漏洞原理

CRLF是”回车+换行”(rn)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。

所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。

在nginx.conf中,在location位置添加如下配置,当用户访问nginx服务器时此配置实现强制跳转到https协议访问之前访问的链接。

location / { 
 return 302 https://$host$uri;
}


1.是配置中的$url是我们可以控制的,这样我们就可以在$url处填入CRLF,然后对服务器进行访问实现头部注入。
2.服务器会返回一个302跳转给用户,所以我们注入的头部参数又会返回到客户这边。
漏洞复现

修改完上面nginx.conf配置后,重启nginx;

访问链接:http://192.168.190.150/%0ASet-cookie:JSPSESSID%3D6666

(换行和回车的URL编码分别是%0d%0a)

抓包,可以看到将6666通过set-cookie返回;

image-20211008164305084

CRLF+XSS配合:

%0D%0A%0D%0A%3Cimg%20src=1%20onerror=alert(/xss/)%3E

image-20211008165740115

不过这里浏览器并没有弹窗,那是因为浏览器filter对xss特征进行了过滤,这里用低版本浏览器才可以弹出来。

修复方法

删除配置不当的配置。

文件名逻辑漏洞(CVE-2013-4547)

漏洞原理

当请求如下URI时:/test[0x20]/…/admin/index.php,这个URI不会匹配上location后面的/admin/,也就绕过了其中的IP验证;但最后请求的是/test[0x20]/…/admin/index.php文件,也就是/admin/index.php,成功访问到后台。(这个前提是需要有一个目录叫test:这是Linux系统的特点,如果有一个不存在的目录,则即使跳转到上一层,也会爆文件不存在的错误,Windows下没有这个限制)。

影响版本
Nginx 0.8.41 ~ 1.4.3
Nginx 1.5.0 ~ 1.5.7
漏洞复现

windows环境下不允许存在文件名后带空格的文件,因此复现使用vulhub进行测试。

启动漏洞环境:

image-20211008181003971

image-20211008181056338

上传1.jpg,并进行抓包;

image-20211008181329364

image-20211008181502941

在1.jpg后添加一个空格

image-20211008181837060

访问返回的该链接并加.php抓包;

http://192.168.190.134:8080/uploadfiles/1.jpg...php

image-20211008182054213

在hex选项卡中将jpg后面的2个点的hex值2e分别修改为20,00;

image-20211008182459046

image-20211008182521630

image-20211008182556356

image-20211008182610748

成功绕过。

这个漏洞主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。

Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下:

image-20211008192010031

正常情况下(关闭pathinfo的情况下),只有.php后缀的文件才会被发送给fastcgi解析。

而存在CVE-2013-4547的情况下,我们请求1.jpg\0x20\0x00.php,这个URI可以匹配上正则.php$,可以进入这个Location块;但进入后,Nginx却错误地认为请求的文件是1.jpg\0x20,就设置其为SCRIPT_FILENAME的值发送给fastcgi。fastcgi根据SCRIPT_FILENAME的值进行解析,最后造成了解析漏洞。所以,我们只需要上传一个空格结尾的文件,即可使PHP解析之。

参考链接:https://blog.csdn.net/weixin_40412037/article/details/106234840

修复方法

升级版本

整数溢出(CVE-2017-7529)

漏洞原理

在Nginx的range filter中存在整数溢出漏洞,可以通过带有特殊构造的range的HTTP头的恶意请求引发这个整数溢出漏洞,并导致信息泄露。

影响版本
Nginx 0.5.6 – 1.13.2
漏洞复现

开启漏洞

image-20211008194019260

image-20211008194048620

在靶机web根目录下创建一个图片文件当缓存文件

去靶机中的/tmp/nginx中查看缓存文件,可以看到,cache key的内容保存在了里面,此外还有服务器信息,这些都是不会返回给客户端的,但是因为这次的漏洞而导致这些信息也被返回,导致信息泄露;

image-20211008214554464

对,这个没成功,缓存文件中的这些信息并没有返回来,先待定~

参考文档:https://paper.seebug.org/353/ https://cloud.tencent.com/developer/article/1680569

修复方法

建议升级到 1.13.3 和 1.12.1 版本;如果不能升级,可以在 Nginx 配置文件中添加 max_ranges 1,从而禁用 multipart range。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取 

 读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供: 

大厂面试题

 

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~ 

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击) 

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

爱玩游戏的黑客
关注
  • 10
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx漏洞总结
m0_67391518的博客
08-02 6984
Nginx(enginex)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx1.0.4发布。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like协议下发行。...
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
中间件安全Nginx常见漏洞
剁椒鱼头没剁椒的博客
02-21 4414
在上篇中间件安全—Apache常见漏洞中,并未对中间件漏洞进行解释,这里补充一下。
nginx常见漏洞解析_nginx漏洞(3),2024年最新花三分钟看完这篇文章你就懂了
最新发布
2301_82242273的博客
04-10 604
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
nginx-1.24.0-1.el7.ngx.aarch64-ipv6.rpm
05-26
2023年5月26日,当前最新稳定版nginx 1.24.0 二进制rpm包 适用于arm64架构平台,centos7 redhat 7 arm架构的操作系统 已开启ipv6支持,官方默认不支持 可用于修复安全漏洞、升级更新nginx版本到1.24.0
nginx常见漏洞解析
热门推荐
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
Nginx 解析漏洞
来日可期的博客
09-09 3966
Nginx空字节漏洞Nginx 解析漏洞复现Nginx 文件名逻辑漏洞(CVE-2013-4547)漏洞复现合集
Nginx 解析漏洞复现
weixin_45366453的博客
07-20 3089
Nginx 解析漏洞复现
Nginx相关漏洞极其预防1
08-08
Nginx 相关漏洞极其预防 Nginx 是一个流行的 Web 服务器软件,但它也存在一些漏洞,需要我们认真对待和预防。下面我们将对 Nginx 相关漏洞进行详细的分析和预防。 一、文件解析漏洞 文件解析漏洞是指攻击者可以...
Nginx应用技术指南总结.docx
09-02
Nginx 通过 FastCGI 模块,能够与应用服务器进行通信,实现负载均衡和容错。 4. 模块化的结构 Nginx 的架构非常模块化,每个模块都可以独立地进行维护和更新。这使得 Nginx 的开发和维护非常方便。 5. 支持 SSL ...
NGINX漏洞 整理记录
04-06 5719
简单介绍NGINX: Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。 其特点是占有内存少,并发能力强,nginx的并发能力在同类型的网页服务器中表现较好。主要应用在百度,淘宝等高并发请求情形。 漏洞: 1.NGINX解析漏洞 (1)Nginx文件名逻辑漏洞(CVE-2013-4547) 影响版本:Nginx0.8.41~1.4.3 / 1.5.0~1.5.7 漏洞原理:主要原因是nginx错误的..
安全中级2:nginx的中间件漏洞
weixin_62870380的博客
05-22 1921
nginx的中间件漏洞,CRLF(换行符漏洞)、目录穿越漏洞、add_heard漏洞nginx文件名逻辑漏洞nginx解析漏洞
Nginx 安全漏洞(CVE-2022-3638)处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-28 1万+
漏洞描述如下:nginx中发现的该漏洞会影响涉及IPv4连接断开的ngx_resolver.c文件某些未知处理过程,攻击者利用该漏洞在发起远程攻击,导致这个过程中触发内存泄漏。从发布的版本看,1.23.2版本并没有标明修复CVE-2022-3638漏洞,但看文件已经删除了下列代码,最好使用补丁编译。:该主机上Nginx为从其他主机整体打包后拷贝过来,启动运行的,后来升级时发现很多依赖项并未安装;2)下载后,将补丁覆盖源码包,重新编译或直接用1.23.2版本重新编译。
Nginx 1.24.0 拿走即用
qq_32203083的博客
07-14 599
Nginx 1.24.0 开箱即用
web服务器/中间件漏洞系列5:nginx漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-01 5930
复现环境: vulhub docker —> nginx 一、错误配置导致的漏洞 1、CRLF注入漏洞 漏洞原理: CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与S.
openresty漏洞复现
04-03
OpenResty是一个基于NginxWeb应用服务器,它通过Lua脚本语言扩展了Nginx的功能。关于OpenResty的漏洞复现,这里提供一个常见的漏洞示例:OpenResty的Lua代码注入漏洞。 Lua代码注入漏洞是指攻击者可以通过构造恶意请求,在OpenResty服务器上执行漏。攻击者可以利用该漏洞恶意操作,读取敏感文件、执行系统命令等。 下面是一个简单的OpenResty Lua代码注入漏洞复现示例: 1. 首先,创建一个名为test.lua的Lua脚本文件,内容如下: ```lua ngx.say("Hello, World!") ``` 2. 在OpenResty服务器上配置一个路由,将请求转发到test.lua脚本文件。例如,在nginx.conf文件中添加以下配置: ```nginx location /test { default_typetext/plain'; content_by_lua_file /path/to/test.lua; } ` 3. 重启OpenResty服务器使配置生效。 4. 访问http://yourdomain/test,将会执行test.lua脚本返回"Hello, World!"。 然而,需要注意的是,这只是一个简单的示例,实际的漏洞可能更加复杂和危险。在实际应用中,为了防止Lua代码注入漏洞,建议采取以下措施- 对用户输入进行严格的过滤和验证,避免将用户输入直接拼接到Lua代码中。 - 使用OpenResty提供的安全机制,如限制Lua代码的执行权限、禁用危险的Lua函数等。 - 及时更新Openy版本,以获取最新的安全修复。 希望以上信息对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值